【問279】個人情報保護士 練習問題|暗号化とデータ保護
情報セキュリティ 問99/120難易度C(難しい)
問題文
個人データの暗号化に関する次の記述のうち、最も適切なものはどれか。
- 1.個人データを暗号化すれば、暗号化されたデータは個人情報に該当しなくなる
- 2.データベースに保存する個人データの暗号化は、安全管理措置の一つとして有効である
- 3.暗号化したデータと暗号鍵は、利便性のため同じ場所に保管すべきである
- 4.一度暗号化すれば、暗号アルゴリズムの安全性を見直す必要はない
解説
正解
正解は選択肢2です。
各選択肢の解説
選択肢1 → ❌誤り
暗号化されたデータであっても、復号すれば特定の個人を識別できる場合は個人情報に該当します。暗号化は安全管理措置の一つであり、個人情報としての性質を消すものではありません。
選択肢2 → ✅正解
データベースに保存する個人データの暗号化は、不正アクセスやデータ漏えい時の被害を軽減する有効な安全管理措置です。保存データの暗号化(暗号化at rest)として推奨されています。
選択肢3 → ❌誤り
暗号化データと暗号鍵を同じ場所に保管すると、両方が同時に窃取されるリスクがあります。暗号鍵は暗号化データとは別の場所で厳重に管理すべきです。
選択肢4 → ❌誤り
暗号アルゴリズムの安全性は技術の進歩とともに変化します。かつて安全とされた暗号が脆弱性を指摘される場合もあるため、定期的な見直しが必要です。
背景知識
個人データの暗号化は技術的安全管理措置として重要な役割を果たします。ただし、個人情報保護委員会のガイドラインでは、暗号化されたデータであっても復号可能である限り個人情報に該当するとされています。暗号鍵の管理は暗号化と同等に重要であり、HSM(Hardware Security Module)などの専用機器での管理が推奨されます。また、暗号アルゴリズムには寿命があり、CRYPTREC暗号リストなどを参考に最新の推奨アルゴリズムを使用することが大切です。
学習アドバイス
暗号化は万能ではなく、「暗号鍵の管理」と「アルゴリズムの選択・見直し」が重要であることを理解しましょう。暗号化しても個人情報の該当性は変わらないという点は試験で頻出です。
まとめ
- 暗号化は有効な安全管理措置だが個人情報の該当性は変わらない
- 暗号鍵と暗号化データは別の場所で管理する
- 暗号アルゴリズムの安全性は定期的に見直す